Sicherheit: Microsoft-Parkhaus ließ sich vom Web-Browser steuern - Betreiber zum Handeln aufgefordert

News 17.01.2020 um 13:50 Uhr Claus Ludewig Als bevorzugte Quelle auf Google hinzufügen

Quelle: Digital_Revolution Foto CD

Auf die Parkhaussteuerung am Microsoft-Hauptsitz in Redmond konnte ein Autor von den Kollegen von Golem problemlos zugreifen. Die Software zur Steuerung von Parkhäusern befindet sich weltweit in mehr als 600 Gebäuden im Einsatz.

Um möglichst viele Verkehrsteilnehmer mit Fahrzeugen unterzubringen, gibt es seit Jahrzehnten Parkhäuser. Die Parkhäuser selbst sind mit elektronischen Verwaltungssoftware ausgestattet, damit die Betreiber sehen können, was gerade vor sich geht. Normalerweise sollten diese Infos gesichert sein, doch einem Kollegen bei Golem ist es gelungen, auf die Steuerungssoftware eines Parkhauses zuzugreifen. Hierzu nutzte Tim Philipp Schäfer das Tool Zmap.

Ohne irgendeinen Schutz zu umgehen, konnte Tim Philipp Schäfer über eine verschlüsselte Verbindung auf die Steuerungssoftware des Parkhauses am Hauptsitz von Microsoft in Redmond zugreifen, nachdem er einfach im Web nach der Verwendung der Parkhaus-Software suchte. Er konnte jedoch nicht nur die Sensoren sehen, über die ermittelt wird, welche Parkplätze gerade belegt sind, es war auch möglich, Fehler in der Alarmliste zu quittieren. So könnten dann Administratoren die eigentlich gemeldeten Fehler der Sensoren nicht mehr einsehen. Den Fund meldete Schäfer Microsoft, die sich dem Problem annahmen. Das Parkhaus wurde dann offline gestellt. Allerdings waren die Remote-Desktop-Protocol- und SMB-Ports immer noch offen. Microsoft selbst warnt in einem Blogpost davor, noch SMB1 zu nutzen. Erneut meldete Golem den Vorfall Microsoft. Ein Unternehmenssprecher erläuterte, dass die Seite von einem Drittanbieter von Parksystemen gehostet wird.

Microsoft-Parkhaus kein Einzelfall - Mehr als 600 Parkhäuser weltweit potenziell gefährdet

Im Unterschied zu manch anderen Parkhaus-Betreibern ist es allerdings bei dieser Software nicht möglich, irgendwelche persönlichen Daten zu den Nutzern zu sehen. Es wird lediglich auf einer Karte erfasst, welcher Parkplatz gerade belegt ist, ohne jedoch ein Bild der geparkten Fahrzeuge anzuzeigen. Allerdings können Notizen zu bestimmten Parkplätzen hinterlegt werden. Zudem ist die Steuerung der Beleuchtungsanlage und der Schranke möglich. Auch die Sperrung des Ticketknopfes kann über diese Parkhaus-Software erfolgen. Manche Funktionen benötigen aber einen Benutzernamen und Passwort zur Authentifizierung.

Für das Management des Parkhauses nutzt Microsoft eine Software des österreichischen Unternehmens Indect. Allerdings stelle die Firma nur die Software her, diese laufe dann auf Azure-Servern eines externen Partners, wie Klaus Guhsl von Indect gegenüber Golem erläutert. Man empfehle den Betreibern den Azure-Servern, auf denen die Parkhaus-Software läuft, keine öffentlichen IPs zu geben, damit diese eben nicht via Web-Browser erreichbar seien. Einige Parkhaus-Betreiber würden sich allerdings nicht an diese Empfehlung von Indect halten. Laut Auskunft des österreichischen Unternehmens sind aktuell mehr als 600 installierte Systeme weltweit in Betrieb. Das Microsoft-Parkhaus jedenfalls ist nach dem Fund von Golem nicht mehr via Internet erreichbar.

Empfohlener redaktioneller Inhalt [EMBED_URL] An dieser Stelle finden Sie externe Inhalte von [PLATTFORM]. Zum Schutz Ihrer persönlichen Daten werden externe Einbindungen erst angezeigt, wenn Sie dies durch Klick auf "Alle externen Inhalte laden" bestätigen: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Mehr dazu in unserer Datenschutzerklärung.

Externe Inhalte Mehr dazu in unserer Datenschutzerklärung.

Ebenfalls lesenswert: Microsoft patcht Sicherheitslücke in Windows 10 nach Hinweis der NSA

Fakten zur Steuerungssoftware von Parkhäusern:

Ein Autor von Golem konnte nur über den Netzwerkscanner Zmap auf die Parkhaus-Software des Hauptsitzes von Microsoft zugreifen. So konnte er einsehen, welche Sensoren einen belegten Parkplatz registriert hatten und welche Sensorik einen Fehler meldete.
Gemeldete Fehler konnte er quittieren, sodass diese nicht mehr von Administratoren eingesehen werden konnten.
Nach Meldung der Sicherheitslücke an Microsoft wurde diese geschlossen.
Microsoft benutzt eine Parkhaus-Software des österreichischen Herstellers Indect, der wiederum die Software auf Azure-Servern von externen Partnern hosten lässt.
Indect empfehle den Betreibern, die Azure-Server nicht mit einer öffentlichen IP zu betreiben, doch manche Parkhaus-Betreiber halten sich nicht an diese Empfehlung.